Cybersécurité UE01 – Réseaux Informatiques

Labo 2 : À la découverte de Wireshark

1. Durée prévue : 2h

2. Objectifs
Au terme de ce laboratoire, l'étudiant sera capable de :

 Lancer une capture dans Wireshark

 Observer des paquets capturés dans Wireshark, les colorer et les annoter.

 Utiliser des règles de filtrage dans Wireshark

3. Introduction
AVERTISSEMENT – Dans la suite, les captures d’écrans ont été réalisées avec le thème clair de Kali Linux,
pour privilégier la lisibilité et l’imprimabilité du document. Wireshark était paramétré en français (Edit
> Preferences… ou Ctrl+Maj+P pour régler ce paramètre). Les commandes à entrer dans le terminal sont
précédées du symbole $.

L'analyseur de protocoles (ou sniffer) est un outil essentiel pour comprendre le fonctionnement des
protocoles réseaux. L'analyseur Wireshark est un logiciel libre incontournable en la matière. Mais, il est
nécessaire de prendre le temps de l’apprivoiser. Dans ce laboratoire, vous allez découvrir ses
fonctionnalités. Wireshark permet la capture de données envoyées sur un réseau, mais surtout d’afficher
ces données de façon structurée, permettant une compréhension du fonctionnement des protocoles
réseaux.

4. Les méthodes de capture

Dans le cadre des laboratoires, l'objectif étant de comprendre le fonctionnement et risques de certains
protocoles réseaux, nous capturerons du trafic local à votre ordinateur. Toutefois, il est utile de
comprendre comment placer le Wireshark afin de capturer un trafic réseau.

Plusieurs solutions existent :

 Utiliser un hub ;
 Utiliser le miroir de port (port mirroring) ;
 Utiliser un TAP ;
 Procéder par ARP poisoning.

Ces méthodes sont brièvement expliquées par le responsable de laboratoire.

5. Capturer du trafic
Sur votre Kali Linux, exécutez l'application Wireshark (voir la Figure 1 pour trouver l’application)

Auteur : Simon Liénardy, d’après Ch. Mangon Page 1 sur 9

Créé le 16/10/2022
Cybersécurité – Réseaux – Labo 2 Année académique 2022-2023

FIGURE 1 : MENU DE KALI LINUX

Vous arrivez à cette fenêtre :

FIGURE 2 : PREMIÈRE FENÊTRE DE WIRESHARK

Sur votre Kali Linux :

0. Ouvrez votre navigateur firefox et fermez tous les onglets qu’il contient
1. Lancez une capture de trafic Wireshark (Cliquer sur eth0 – la ligne en bleu dans la Figure 2)
Auteur : Simon LIÉNARDY, d’après Ch. Mangon Page 2 sur 9
 Cybersécurité – Réseaux – Labo 2 Année académique 2022-2023

2. Effectuez un $ping 8.8.8.8

3. Effectuez un $ping yahoo.com
4. Effectuez un $ping 192.168.254.1
5. Effectuez un $ping 192.168.254.2
6. Dans firefox, visitez les sites web www.trameo.net, www.google.com et www.lalibre.be
7. Stoppez la capture de trafic Wireshark
8. Sauvegardez cette première capture de trames sous le nom first.pcapng
9. Durant la capture, vous pouvez voir que des lignes défilent dans Wireshark. Chaque ligne
correspond à une trame capturée. Vous obtenez quelque chose qui ressemble à la Figure 3.
Analysez les trames. Familiarisez-vous bien avec la fenêtre principale de Wireshark. Essayez de
comprendre à quoi correspondent les différents éléments.

1.

2.

3.

FIGURE 3 : WIRESHARK - FENÊTRE PRINCIPALE

Vous constatez que la fenêtre principale de Wireshark est composée de trois parties principales :

1. Liste des trames – les trames capturées sont présentées en colonnes. Vous constatez
directement qu’il y a un code couleur appliqué aux trames : toutes celles qui concernent un
même protocole sont colorées de la même façon. Cliquer sur une colonne permet de trier les
trames selon la valeur de la colonne. La colonne « information » contient un résumé du
contenu de la trame.
2. Analyse d’une trame – Sélectionnez une trame précise dans la liste. Ce cadre permet de
l’analyser en détails. Il y a plusieurs sous-menus disponibles (le plus souvent Frame, Ethernet,
Internet Protocol, etc.) qui correspondent à la pile des protocoles de chacune des trames. Si
vous déployez un des protocoles (dans la Figure 3, c’est le cas d’Ethernet et d’IP), vous pouvez
inspectez l’en-tête des paquets champ par champ.

Auteur : Simon LIÉNARDY, d’après Ch. Mangon Page 3 sur 9

Cybersécurité – Réseaux – Labo 2 Année académique 2022-2023

3. Paquets au format hexadécimal – Vous trouvez ici le paquet tel qu’il a été capturé. Si vous
cliquez sur un champ précis dans l’analyse de la trame, vous pouvez voir comment il est codé
dans la trame. Par exemple, essayez de retrouver le champ destination dans l’en-tête IP d’un
datagramme. Cliquez sur l’adresse. Puisqu’une adresse IPv4 fait 32 bits, vous devriez voir 8
caractères hexadécimaux consécutifs être mis en évidence.

6. Les informations sur la trame

1. Sélectionnez la frame de la requête DNS demandant la résolution du nom www.trameo.net
2. Retrouvez l'Epoch Time et cherchez sur internet à quoi correspond ce format. Vérifiez que l'Epoch
Time correspond bien au moment de la capture de la trame via le site
https://www.epochconverter.com/
3. Marquez "Ignored" les trames concernant le trafic vers www.google.com. Dans la liste des
trames, faites un clic droit et de sélectionner Ignore/Unignore. Cela permet de ne pas tenir
compte des trames vous n’en avez pas besoin. Elles apparaissent grisées.
4. Marquez "Marked" les trames concernant le trafic vers www.trameo.net. Dans la liste des trames,
faites un clic droit et de sélectionner Mark/Unmark. Cela permet, à l’inverse, de mettre en
évidence des trames intéressantes.
5. Repérez une trame DNS et vérifiez les protocoles encapsulés dans cette trame.
6. Marquez un commentaire sur la trame query DNS pour le nom www.trameo.net et sur sa trame
response. Pour ajouter un commentaire, il faut sélectionner un paquet dans la liste, effectuer un
clic droit, choisir « Commentaires du paquet » et ajouter. Normalement, le commentaire apparait
alors dans le détail du paquet, juste au-dessus de la Frame (voir Figure 4, en vert).

FIGURE 4 : COMMENTAIRES DES PAQUETS

7. Visualisez l'ensemble des commentaires en cliquant sur le rond situé tout en bas à gauche et
vérifiez le numéro des deux trames concernées par vos commentaires appliqués au point 6.
8. Ajoutez une colonne commentaire : cliquez droit sur « Packet comments » (voir Figure 4) et
sélectionnez « appliquez en colonne ».

Auteur : Simon LIÉNARDY, d’après Ch. Mangon Page 4 sur 9

Cybersécurité – Réseaux – Labo 2 Année académique 2022-2023

7. Les filtres d’affichage

Comme vous avez pu le voir jusqu’à présent, il peut y avoir beaucoup de paquets à analyser dans une
capture. Pour sélectionner des paquets précis, il faut savoir les filtrer. Il y a une barre dans le haut de la
fenêtre principale. Elle permet d’entrer une expression de filtrage (voir Figure 5).

FIGURE 5 : BARRE DE FILTRE

1. Filtrez uniquement les trames de protocole ICMP (les pings), puis HTTP, puis HTTPS et enfin le
DNS en entrant tour à tout « icmp », « http », « https » et « dns » comme filtre. Pour désactiver
un filtre, cliquez sur la croix qui apparait à droite de la barre de filtre lorsqu’il y a un filtre actif.
2. Réinitialisez le filtre d'affichage et filtrez uniquement les trames qui concerne l'adresse IP du site
www.trameo.net (il vous faut retrouver cette IP). Par un clic droit dans la barre de filtre +
« Afficher l’expression du filtre », vous obtenez le menu représenté à la Figure 6.

FIGURE 6 : EXPRESSION DE FILTRE

Dans la barre de recherche, vous pouvez taper « IP » et chercher l’expression qui correspond à
une adresse IP (ip.addr). Puisque vous voulez tous les paquets qui correspondent à une IP précise,
il vous faudra utiliser l’opérateur « == » et former une expression de filtre du type « ip.addr ==
X.X.X.X » où X.X.X.X est l’IP souhaitée.

3. Améliorez ce filtre en ne retenant que les trames du protocole http : vous pouvez combiner les
expressions avec les opérateurs && (et), || (ou), not (non). Dans notre exemple, vous obtiendrez
l’expression : « ip.addr == X.X.X.X && http ».
4. Réinitialisez le filtre d'affichage et filtrez uniquement les trames UDP. Quel protocole applicatif
apparaît ?

Auteur : Simon LIÉNARDY, d’après Ch. Mangon Page 5 sur 9

Cybersécurité – Réseaux – Labo 2 Année académique 2022-2023

5. Réinitialisez le filtre d'affichage et filtrez uniquement les trames HTTP contenant (en anglais
« contains ») le nom du host trameo
6. N'affichez que les frames contenant le mot « libre ». Vous pouvez formuler une expression du
type « frame contains XXX » pour chercher XXX dans toutes les frames.
7. Repérez la séquence des frames générées lorsque vous avez visité la page www.lalibre.be
8. Sauvegardez votre filtre (cliquez sur le signet à gauche de la barre de filtre puis sur sauvegarder)
avec le nom « Mon filtre libre » et testez son appel par le signet de wireshark (le même bouton
que pour sauvegarder le filtre. Maintenant, il est disponible en bas de la liste).
9. Créez un filtre "No HTTPS" excluant tout le trafic sur le port TCP 443.
10. Associez ce nouveau filtre à un bouton "Pas de HTTPS". Pour créer un bouton, il faut cliquer sur le
« + » à l’extrême droite de la barre de filtre. Il suffit de spécifier un filtre et une étiquette (un
nom). Le bouton apparaitra sur la droite.
11. Créez un nouveau filtre "Only DNS query" en appliquant cette méthode :
a. Trouvez une requête DNS et cliquer sur le paquet.
b. Cherchez dans l’en-tête DNS le champ « flags »
c. Cliquez-droit sur « Opcode : Standard query »
d. Sélectionnez « Appliquer comme un filtre > Sélectionné ».

8. Les options de capture

1. Sur votre Kali Linux, lancez un $ ping yahoo.com et laissez-le s'exécuter.
2. Réalisez une capture de trafic avec une auto-génération d'un fichier de sortie toute les 5 secondes
pendant une capture de trafic de 30 secondes. Pour ce faire, voici la méthode à suivre :
a. Ouvrez le menu Capture > Options (raccourci : Ctrl-K).
b. L’onglet « Options » (voir Figure 7) permet de limiter la longueur de la capture en
fonction du temps, de la quantité de données interceptées, du nombre de paquet, etc.
Vous pouvez aussi régler les fonctions d’affichage.
c. L’onglet « Sortie » (voir Figure 8) permet de régler le format du fichier de sortie. Préférez
pcapng qui permet de stocker des informations supplémentaires que pcap. Vous pouvez
régler ici la création d’un fichier automatique.
3. Stoppez le ping via le raccourci Ctrl+C.
4. Ouvrez un des fichiers de sortie dans Wireshark pour visualiser la capture de trames.

Auteur : Simon LIÉNARDY, d’après Ch. Mangon Page 6 sur 9

Cybersécurité – Réseaux – Labo 2 Année académique 2022-2023

FIGURE 7 : OPTIONS DE CAPTURE - VOLET OPTIONS

FIGURE 8 : OPTIONS DE CAPTURE - VOLET SORTIE

Auteur : Simon LIÉNARDY, d’après Ch. Mangon Page 7 sur 9

Cybersécurité – Réseaux – Labo 2 Année académique 2022-2023

9. La barre d’outils et de colonne

FIGURE 9 : BARRE DE MENU

1. Ouvrez votre premier fichier de capture first.pcapng

2. Grâce à la barre d’outils (voir Figure 9), essayez de faire les manipulations suivantes (il suffit de
survoler une icône pour en avoir l’explication) :
a. Désactiver / Réactiver la coloration d’un paquet ;
b. Aller au paquet n°17 ;
c. Aller au dernier paquet.
3. Ajouter une colonne NDD (Nom De Domaine) sur le protocole DNS :
a. Cherchez un paquet qui concerne le protocole DNS (dans les premiers paquets, il devrait y
en avoir un, coloré en bleu par défaut). Cliquez sur le paquet.
b. Dans le détail du paquet, essayez de trouver le champ « Name » parmi les « Queries ».
Cliquez sur ce champ « Name ». Dans la barre inférieure de la fenêtre de Wireshark, vous
devriez voir noté « Query Name (dns.qry.name) » (voir encadré en vert dans la
Figure 10)

FIGURE 10 : SÉLECTION DU CHAMP QUERY NAME

Auteur : Simon LIÉNARDY, d’après Ch. Mangon Page 8 sur 9

Cybersécurité – Réseaux – Labo 2 Année académique 2022-2023

c. À l’aide d’un clic droit sur ce champ, vous faites apparaitre le menu représenté dans la
Figure 10. Sélectionnez « Appliquez en colonne ». Vous venez de créer une nouvelle
colonne dans la partie supérieure qui liste les trames. Par un clic droit sur le titre de la
colonne vous pouvez accéder aux « Préférences de colonnes ». Si vous double-cliquez sur
un titre, vous pouvez en modifier la valeur. Changez par exemple « Name » en « NDD ».

10. Les règles de coloration

1. Appliquez un filtre de couleur fuchsia sur le protocole DNS.
a. Dans le menu « Vue > Coloring Rules… », en bas à gauche, cliquez sur le « + ». Une
nouvelle règle s’ajoute
b. Entrez « dns » comme filtre. Si vous le faites correctement, l’arrière-plan du texte
deviendra vert (sinon il reste rouge)
c. Double-cliquez dans la colonne « NOM » de cette règle et donnez-lui un nom
pertinent (« DNS », par exemple).
d. En bas de cette fenêtre, vous pouvez changer la couleur de la police et de l’arrière-
plan pour cette règle.
e. N’oubliez pas de cocher la case à l’extrême-gauche de la règle pour l’activer !
f. Vérifiez que les paquets DNS sont bien fuchsia.

2. Colorez ensuite en jaune toutes les trames à destination de l'adresse IP du serveur de

www.trameo.net. Vous pouvez procéder ainsi :
a. Trouver un paquet échangé vers ce serveur ;
b. Sélectionner l’adresse de destination dans l’en-tête IP du datagramme et effectuez un clic
droit.
c. Sélectionnez « Colorier avec un filtre » et choisissez la couleur jaune.

3. Il est aussi possible de ne mettre en évidence que les paquets qui concernent une conversation
précise. Par exemple, si on veut mettre en évidence une session http, on procèdera ainsi :
a. Sélectionner un paquet qui concerne l’échange voulu dans la liste des paquets
b. Faire un clic-droit et sélectionner « Colorier la conversation »
c. Plusieurs protocoles sont disponibles (Ethernet, IPv4 et TCP dans notre exemple). Il faut
choisir TCP (pourquoi ?) et la coloration voulue.

Auteur : Simon LIÉNARDY, d’après Ch. Mangon Page 9 sur 9